небезпека та заходи запобігання схемам замилювання очей eth_sign
Нещодавно активізувався шахрайський метод з використанням blind signing eth_sign, багато користувачів були введені в оману на деяких невідомих сайтах для підписання на вигляд безпечних підписів eth_sign, що призвело до раптової втрати активів у їхніх гаманцях. Щоб допомогти всім краще зрозуміти механізм роботи цього шахрайства, нам необхідно спочатку пояснити суть підпису eth_sign.
сутність підпису eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Ця механіка підпису відіграє центральну роль у блокчейн-транзакціях, оскільки вона може підтвердити, що конкретний рахунок є ініціатором транзакції. Простими словами, це схоже на підписання документа, що означає, що ви погоджуєтеся або підтримуєте зміст документа.
Однак, у процесі використання eth_sign існує одна проблема, яку легко ігнорувати, а саме – так зване "сліпе підписання". Коли ви використовуєте eth_sign для підписання повідомлення, ви, можливо, не зовсім розумієте, що саме ви підписуєте, і не можете перевірити, що саме означає цей підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирими символами, а не зрозумілим для людини форматом. Це схоже на підписання контракту, написаного мовою, якої ви не розумієте, саме тому це називається "сліпе підписання".
Загальні методи шахрайства з сліпими підписами
Зрозумівши концепцію підпису eth_sign та сліпих підписів, ми можемо далі обговорити потенційні ризики eth_sign та як запобігти таким шахрайствам зі сліпими підписами.
Оскільки eth_sign можна використовувати для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати вас підписати повідомлення, яке ви не зовсім розумієте, внаслідок чого ваші активи можуть бути переведені на їхні рахунки. Ще гірше, вони можуть дати вам повідомлення, яке на перший погляд виглядає безпечним для підписання, але насправді це може бути команда дій, і як тільки ви підпишете, ваші активи будуть переведені на їхні рахунки.
Заходи запобігання
У такій ситуації, як ми повинні запобігти цьому? Щодо таких шахрайських дій, один відомий гаманець вже оновив свою систему управління ризиками в новій версії. Коли користувачі отримують доступ до третьої сторони DApp для підписання повідомлень за допомогою eth_sign, цей гаманець надасть сповіщення про ризики, попереджаючи користувача про потенційні ризики поточної угоди, і запустить 15-секундний таймер охолодження. Таке налаштування має на меті дати користувачеві достатньо часу для оцінки необхідності та безпечності операції підписання.
Рекомендації з безпеки
Щоб підвищити обізнаність щодо безпеки, ми рекомендуємо всім:
Будьте надзвичайно обережні з усіма запитами, які вимагають підпису eth_sign, особливо якщо запит має сумнівне або ненадійне походження. Якщо у вас є сумніви щодо достовірності або мети запиту, ніколи не підписуйте його легковажно.
Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені комунікаційні канали. Ніколи не довіряйте посиланням, електронним листам чи приватним повідомленням з незрозумілим джерелом.
Підвищивши пильність і посиливши обізнаність про безпеку, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвами замилювання очей.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
eth_sign сліпий підпис: глибокий аналіз ризиків та заходів запобігання
небезпека та заходи запобігання схемам замилювання очей eth_sign
Нещодавно активізувався шахрайський метод з використанням blind signing eth_sign, багато користувачів були введені в оману на деяких невідомих сайтах для підписання на вигляд безпечних підписів eth_sign, що призвело до раптової втрати активів у їхніх гаманцях. Щоб допомогти всім краще зрозуміти механізм роботи цього шахрайства, нам необхідно спочатку пояснити суть підпису eth_sign.
сутність підпису eth_sign
У екосистемі Ethereum eth_sign є широко використовуваним методом підпису, який дозволяє користувачам підписувати повідомлення за допомогою приватного ключа. Ця механіка підпису відіграє центральну роль у блокчейн-транзакціях, оскільки вона може підтвердити, що конкретний рахунок є ініціатором транзакції. Простими словами, це схоже на підписання документа, що означає, що ви погоджуєтеся або підтримуєте зміст документа.
Однак, у процесі використання eth_sign існує одна проблема, яку легко ігнорувати, а саме – так зване "сліпе підписання". Коли ви використовуєте eth_sign для підписання повідомлення, ви, можливо, не зовсім розумієте, що саме ви підписуєте, і не можете перевірити, що саме означає цей підпис. Це пов'язано з тим, що вхідні дані eth_sign є сирими символами, а не зрозумілим для людини форматом. Це схоже на підписання контракту, написаного мовою, якої ви не розумієте, саме тому це називається "сліпе підписання".
Загальні методи шахрайства з сліпими підписами
Зрозумівши концепцію підпису eth_sign та сліпих підписів, ми можемо далі обговорити потенційні ризики eth_sign та як запобігти таким шахрайствам зі сліпими підписами.
Оскільки eth_sign можна використовувати для підписання різних типів повідомлень, включаючи транзакції та команди смарт-контрактів, зловмисники можуть спонукати вас підписати повідомлення, яке ви не зовсім розумієте, внаслідок чого ваші активи можуть бути переведені на їхні рахунки. Ще гірше, вони можуть дати вам повідомлення, яке на перший погляд виглядає безпечним для підписання, але насправді це може бути команда дій, і як тільки ви підпишете, ваші активи будуть переведені на їхні рахунки.
Заходи запобігання
У такій ситуації, як ми повинні запобігти цьому? Щодо таких шахрайських дій, один відомий гаманець вже оновив свою систему управління ризиками в новій версії. Коли користувачі отримують доступ до третьої сторони DApp для підписання повідомлень за допомогою eth_sign, цей гаманець надасть сповіщення про ризики, попереджаючи користувача про потенційні ризики поточної угоди, і запустить 15-секундний таймер охолодження. Таке налаштування має на меті дати користувачеві достатньо часу для оцінки необхідності та безпечності операції підписання.
Рекомендації з безпеки
Щоб підвищити обізнаність щодо безпеки, ми рекомендуємо всім:
Будьте надзвичайно обережні з усіма запитами, які вимагають підпису eth_sign, особливо якщо запит має сумнівне або ненадійне походження. Якщо у вас є сумніви щодо достовірності або мети запиту, ніколи не підписуйте його легковажно.
Переконайтеся, що оброблені повідомлення або запити на транзакції надходять з надійних каналів, таких як офіційний веб-сайт, офіційні соціальні мережі або перевірені комунікаційні канали. Ніколи не довіряйте посиланням, електронним листам чи приватним повідомленням з незрозумілим джерелом.
Підвищивши пильність і посиливши обізнаність про безпеку, ми можемо краще захистити свої цифрові активи та уникнути того, щоб стати жертвами замилювання очей.